- Risikomanagement fasziniert durch seine Vielseitigkeit und zentrale Bedeutung für Unternehmen, da es sowohl Zahlen als auch den Umgang mit Menschen vereint.
- Erfolgreiches Risikomanagement erfordert eine proaktive Herangehensweise, um Risiken zu managen und gleichzeitig Chancen zu erkennen und zu nutzen.
- Es sollte nicht als Routineaufgabe, sondern als strategischer Bestandteil der Unternehmensführung verstanden werden, um langfristigen Erfolg und Sicherheit zu gewährleisten.
Frau Lüthi-Walter, Sie haben an der HSG den Doktor in Banking and Finance gemacht und seither eine Karriere im Risk-Management verschiedener Unternehmen. War das Ihr Berufsziel oder eher Zufall?
Risikomanagement hat mich schon immer fasziniert, weil es so vielseitig und zentral für ein Unternehmen ist. Es verbindet viele verschiedene Themenbereiche und schafft dadurch eine Dynamik, die mich begeistert. Ich liebe es, mich Herausforderungen zu stellen, anstatt in Routineaufgaben zu versinken. Zahlen sind mir dabei genauso wichtig wie der Umgang mit Menschen – die Kombination aus analytischem Denken und Zusammenarbeit macht für mich den Reiz aus. Für mich ist das Risikomanagement das Herz eines Unternehmens: Es ist nicht nur die Schnittstelle vieler Fachgebiete, sondern auch ein Bereich, der eine nachhaltige und sichere Zukunft aktiv mitgestaltet. Das motiviert mich jeden Tag aufs Neue.
Dr. Susanna Lüthi-Walter ist Group Chief Risk Officer und Chief Risk Officer Switzerland bei Youplus sowie Chief Risk Officer Non-Executive Board Member (Vice president) sowie Advisory Board Energy Innovation and Cleantec.
Ist es für ein gutes Risk-Management weitgehend egal, in welcher Branche sich das Unternehmen bewegt?
Damit ein Risikomanagement zum Erfolg führt, ist vieles immer dasselbe. Es geht um eine Kombination zwischen Zahlen und Daten, aber vor allem auch um Menschen. Und dementsprechend ist es in der Bankbranche, im Versicherungswesen oder auch in Cleantechs eigentlich immer dasselbe. Das Erfolgsrezept ist die Art und Weise, wie man ein Risikomanagement wirklich zum Leben bringt, damit es keine «Tick the box»-Lösung bleibt, bei der man nur sein Häkchen hinter die lästigen Fragen setzt.
Um als Risk-Managerin eines Unternehmens erfolgreich zu sein, sind Sie auf die Unterstützung der Mitarbeitenden angewiesen. Wie bekommen Sie die auf Ihre Seite?
Ich frage die Abteilungsleitenden immer nach den Dingen, die sie nachts nicht schlafen lassen. Und dann erkläre ich Ihnen, dass es dafür Lösungen gibt und dass ein Risikomanagement dazu da ist, auch ihren Bereich sicherer zu machen.
Aber was, wenn der Abteilungsleiter XY überhaupt nicht einsehen will, warum er seine Zeit opfern muss, um dem Risk-Management irgendwelche Fragen zu beantworten?
Mir ist bewusst, dass Risikomanagement nicht immer oberste Priorität hat, denn im Tagesgeschäft stehen oft andere Themen im Vordergrund. Daher nehme ich es niemandem übel, wenn unser Bereich nicht direkt im Fokus steht. Man hat mich allerdings auch schon als «charmante Wadenbeisserin» bezeichnet – und das trifft es ab und an ganz gut! Ich bleibe hartnäckig, weil ich überzeugt bin, dass unsere Arbeit einen echten Mehrwert schafft.
Dabei ist mir wichtig, auch den richtigen Zeitpunkt zu wählen. Wenn ich beispielsweise mitten im Monats- oder Jahresabschluss mit detaillierten risikobezogenen Fragen auf die Finanzabteilung zukomme, ist es nur verständlich, dass das nicht auf Begeisterung stösst.
Viele fragen sich, warum das Ganze sein muss …
Weil sie einfach nicht sehen, dass es auch einen Return gibt. Das ist eine Erfahrung, die ich bisher in allen Organisationen gemacht habe: Am Anfang herrscht zum Teil wirklich viel Zähneknirschen, aber dann muss man die Leute charmant dazu bewegen, den Sinn dahinter zu erkennen. Im Nachhinein kommen sie jedoch oft und bedanken sich. Einmal habe ich von meinem grössten Kritiker in einem Unternehmen zum Abschied ein Glas Chilisalz geschenkt bekommen, weil ich, so seine Worte, seine Suppe immer so gut gewürzt habe! (lacht)
Wie viel von ihrer Zeit muss eine Abteilungsleiterin dem Risk-Management opfern, um die Daten und Antworten zu liefern, die dort benötigt werden?
Am Anfang ist es aufwendiger, weil beispielsweise ein gesamter Prozess erst einmal verstanden und auseinandergenommen werden muss. Wenn ich oder meine Leute den Prozess nicht verstehen, können wir nicht helfen, die Risiken zu entdecken. Ist der Prozess aber erst einmal analysiert, geht es schneller, denn dann müssen die Werte oftmals nur noch aktualisiert werden.
Das betrifft unternehmensspezifische Risiken. Wie aber definieren Sie Risiken wie beispielsweise jetzt die neue Präsidentschaft in den USA, die für manche Firmen tatsächlich eine Gefahr darstellen kann?
Solche Emerging Risks haben wir auch immer auf dem Radar, und mindestens einmal im Jahr machen wir einen grossen Rundumschlag und denken über solche Themen nach. Dabei helfen die Top-Risk-Reports von den grossen Anbietern, und es macht wirklich Sinn, diese ab und an mal durchzugehen und zu durchdenken, welche Risiken einen Einfluss auf das eigene Geschäft haben könnten. Manchmal ist es kein direktes, aber ein indirektes Risiko und fungiert dann als Trigger einer anderen Gefahr, und es hilft, wenn man die Verknüpfung versteht und auch die Diversität anschauen kann.
Inwieweit hat die Digitalisierung Ihren Job in den letzten Jahren verändert?
Die Digitalisierung hilft, Synergien zu schaffen, Effizienz in die Prozesse reinzukriegen und Zusammenhänge schneller zu analysieren, aber sie birgt auch neue Gefahren für Cyberkriminalität. Denn je mehr Technik dahintersteckt, desto manipulierbarer ist das System und desto mehr Daten können verloren gehen. Die digitalen Prozesse zu unterstützen, aber die richtigen Schlüsse aus den analysierten Daten zu ziehen oder im Umkehrschluss nach Alternativen zu suchen, bleibt Aufgabe des Menschen. Eine digitale Intelligenz hat keine Problemlösungskompetenz und kann auch die emotionale Intelligenz nicht ersetzen.
Was ist der Unterschied zwischen quantitativem und qualitativem Risk-Management?
High-level zusammengefasst: Zum quantitativen Risikomanagement gehört alles rund um finanzielle Risiken, also Themen wie Solvency Reporting, Risk-Appetite Statement, Stresstests und Szenarienmodellierung. Zum qualitativen Risikomanagement gehören Themen wie die Informationssicherheit, das Business-Continuity-Management und vor allem das interne Kontrollsystem (IKS). Mit Letzterem werden die einzelnen Prozesse auf Risiken analysiert, und dann versuchen wir, diese Risiken mit Kontrollen zu mitigieren, also derart auszugestalten, dass man mit ihnen leben kann.
Wie läuft das konkret ab?
Wenn wir einen Prozess analysieren, müssen wir natürlich verstehen, was die Inputvariablen sind, wie genau der Prozess funktioniert, was seine Schnittstellen sind, wo der Output hingeht und wer dort arbeitet. Zu diesem Zweck führen wir auch Interviews mit den Mitarbeitenden, denn – wie schon gesagt – der Mensch ist extrem wichtig für uns. Durch diese gründliche Analyse können wir die Risiken ermitteln, die wirklich signifikant sind. Anschliessend setzen wir geeignete Kontrollen ein, um diese Risiken auf ein tragbares Mass zu reduzieren und sie so beherrschbar zu machen.
Was sind aktuell schwer zu identifizierende Risiken in Schweizer Unternehmen?
Dazu zählen beispielsweise aus dem Bereich Human Ressources das Risiko steigender Burn-out-Fälle oder generell das Thema Mental Health, das mittlerweile zu den Toprisiken zählt. Das kann man aber kaum messen, sondern da muss man sich auf einzelne Aussagen verlassen oder auch die Unternehmenskultur spüren.
Was ist Risikomanagement für Sie persönlich?
Ich sehe es wie das Cockpit eines Flugzeugs. Man muss Instrumente haben, auf die man sich verlassen kann. Und man muss frühzeitig das Steuer ergreifen, bevor man irgendwo reinfliegt oder abstürzt.
Inwieweit hilft es, wenn man schon beim Bau des Flugzeugs und beim Festlegen der Flugroute dabei ist?
Sehr! Denn ein gutes Risikomanagement sollte in die Unternehmensstrategie integriert sein und proaktiv messen – und nicht erst dann, wenn es zu spät ist. Entscheide sollten unter Berücksichtigung der möglichen Risiken getroffen werden, denn da lauern auch die Chancen, die man betrachten sollte. Massgeblich ist der «Tone at the top»: Wenn an der Spitze einer Organisation jemand ist, der das Risk-Management als «Tick the box»-Übung betrachtet, dann hat man auf dem Posten als Risk-Managerin verloren.
Wie genau sieht der Return aus, der sich bei einem guten Risikomanagement einstellt?
Man hat die regulatorische Sicherheit, dass man die richtigen Risiken managt und dass die Abläufe effizient und sicher sind. Deswegen spreche ich auch nicht immer nur von Risiken, ich spreche auch von Chancen, weil man es so auch schafft, die Chancen sicht- und nutzbar zu machen. Das ist vor allem in der heutigen Zeit wichtig, denn im Risikomanagement sollte man sich als lösungsorientierter Enabler sehen und nicht als Verhinderer und schon gar nicht eine Art Polizist. Das bringt dann auch den nötigen Respekt und ist die Basis dafür, dass man erfolgreich weiterarbeiten kann.
Dieser Beitrag ist Teil des am 28. November 2024 erschienenen HZ-Insurance-Print-Specials «Riskmanagement».
